專精於預防信用卡側錄的荷蘭資安業者Sansec本周指出,他們發現駭客趁著武漢肺炎(COVID-19)疫情期間,知名飾品品牌Claire's所有實體商店都休息的情況下,鎖定了Claire's的官網發動Magecart攻擊,在官網上植入了信用卡側錄程式,以竊取Claire's客戶的信用卡資訊。

在電子商務網站的結帳頁面上植入側錄程式,以竊取信用卡資訊的攻擊行為,被統稱為Magecart。根據美國資安業者RiskIQ的觀察,Magecart手法最早出現在2010年的8月,有時是藉由第三方服務進駐電子商務網站,有時則直接於電子商務網站植入側錄程式,可怕的是,大多數的電子商務網站所有人都無法查看其程式碼,使得這些側錄程式可能存在數周、數月,甚至更久的時間。

RiskIQ發現,全球有超過1.8萬臺主機遭到Magecart入侵,也在網路上找到了573個與Magecart攻擊有關的命令暨控制網域,意味著這是個非常普遍的現象。

而Claire's的事件則印證了RiskIQ的觀察。Sansec說,Claire's是在今年的3月20日關閉了全球超過3,000家的實體門市,隔天就有人註冊了claires-assets.com,不過,此一網域蟄伏了4周都毫無動靜,一直到4月的最後一周,研究人員發現Claire's及其姐妹品牌Icing的官網,都被植入了側錄程式,並將所蒐集的信用卡資訊傳送到claires-assets.com。

駭客是將側錄程式直接嵌入網站上合法的app.mis.js檔案中,代表駭客已經取得了網站的寫入權限,而其側錄程式則是附加在結帳格式的「提交」(submit)按鍵上,代表消費者一提交自己所輸入的信用卡資訊,就會被紀錄,且是以圖片檔紀錄。研究人員猜測,這可能是因為圖片檔較容易繞過安全系統。此外,該側錄程式一直到6月13日才被移除。

Claire's坦承了這項意外,並說有未經授權的使用者於該平臺上植入程式碼,用以取得消費者在結帳時所輸入的支付卡資訊,除了已移除惡意程式之外,也正在進行鑑識並通知受影響的使用者。此一事件只波及電子商務網站,並未影響實體店面。

Claire's並未公布駭客入侵的管道,Sansec則推測,駭客可能是取得了外洩的管理員憑證,或針對該站員工展開魚叉式網釣攻擊,也可能只是單純入侵了該站的內部網路。


Advertisement

更多 iThome相關內容